
Konon menurut suatu hikayat yang tidak dapat dipertanggungjawabkan 
kebenarannya, hehehe ©, di saat kumat edane , cybersufi alias Kyai kebal wirang 
terkadang beralih profesi dari seorang kyai menjadi seorang dukun virus. Trik ini 
untuk menyiasati agar dapat menyimpang dari kaidah-kaidah norma yang sering 
menutupi kejujuran ilmu. 

Menyambung pembahasan masalah-masalah virus komputer, pada buku ini akan 
dilanjutkan beberapa permasalahan yang ada. Pembahasan akan dimulai dengan 
angka 80, karena pada buku pertama topik terakhir ada pada angka: 79. Semoga 
ada yang berguna. Happy reading ... © 



80. Mbah dukun... benarkah 
tanpa file autorun, virus tetap 
dapat melakukan fungsi 
autorun? 


Jawabnya: bisa saja! Ada virus yang telah melakukannya dengan membuat 
string pada registry berikut, sehingga jika user akses ke suatu drive, secara tidak 
langsung akan menjalankan dirinya. 
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HKEY_CURRENT_USER\Sof tware\Microsof t \Windows\CurrentVersion\ 
Explorer\MountPoints2 \ { 9bc849ac-6d5f-lldc-bl8f- 
00016ccdd524 } \Shell\AutoRun\command 


Pada subkey command ini, virus akan membuat suatu nama value dengan nama: 
Default dan pada isian datanya akan dituliskan file exe virus yang akan 
dijalankan. 

Selain mengancam HKEY_CURRENT_USER ia juga berpotensi menyerang di 
HKEYJJSER. Tepatnya di lokasi: 

HKEY_USERS\S-l-5-2 1-527237240-2 052 1113 02 -83 9522 115- 
1003 \Sof tware\Microsof t\Windows\CurrentVersion\Explorer\ 
MountPoints2 \ { 9bc849ac-6d5f-lldc-bl8f- 
00016ccdd524 } \Shell\AutoRun\ command 


Pada subkey command ini virus akan membuat suatu nama value dengan nama: 
Default dan pada isian datanya akan dituliskan file exe virus yang akan 
dijalankan. 

Solusi: 

Hapus saja data tersebut dari Registry. Beres! Singkat dan telak, langsung 
sasaran .. © 


81. Mbah, bagaimana cara 

virus dapat aktif dengan 
mengaktifkan file dll. Tidak file 
*.exe? 



Virus memang dapat mengaktifkan dirinya melalui bantuan file berjenis DLL 
( Dynamic Link Library). Hal itu dilakukannya dengan memanipulasi Registry, 
tepatnya pada subkey Applnit_dll. 

Agar virus dapat langsung aktif secara “Autorun” setiap kali komputer 
dinyalakan, ia akan membuat string pada registry. 

Celakanya, pada beberapa virus, pembuatan string untuk nama-nama file ini 
umumnya dibentuk dengan nama string yang berbeda-beda, tergantung varian 
virus itu sendiri. Contohnya: terkadang dia membut file dengan nama abcd.dll, 
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lalu besok pas booting, ganti dengan nama xyz.dll. Besoknya lagi ganti nama 
lagi, misalnya: pqrstu.dll. Pusing bukan? Memang itulah tujuannya! hehehe © 
Ini salah satu cara agar file virus sulit untuk diendus dan dicatat keberadaannya. 
Dengan manipulasi model begini, pemakai awam komputer pasti dibuatnya 
“teler berat”. 

Lokasi subkey yang dimanipulasi adalah di: 

HKEY_LOCAL_MACHINE \ SOFTWARE \Mi croso f t \ Windows 
NT \CurrentVer s ion Windows 

Sedangkan nama value yang dimanipulasi adalah AppInit_DLLs. Isian pada 
nama value ini adalah jajaran nama-nama file dll yang akan diaktifkan oleh 
Windows pada saat booting. Pada kenyataannya, di registry data dituliskan dan 
dipisahkan dengan spasi. Sebagai berikut: 

Abcd.dll xyz.dll pqrstu,ll vvrtp2pg.dll el.dll ... dsb 

Memang cukup sulit untuk menentukan, data mana kepunyaan virus, atau data 
mana kepunyaan program yang sah! Bisa saja kita main hapus seluruh isi data 
yang ada, namun teknik tersebut mengundang risiko kegagalan booting 
Windows atau tidak berfungsinya suatu program tertentu. 

Untuk itu sebelum menghapus data yang ada di bagian ini, pastikan bahwa Anda 
tahu dengan apa yang akan Anda hapus! Wah... kalo begitu sulit dong mbah? 
Tidak juga sebenarnya, ini masalah kebiasaan saja, dan memang dibutuhkan 
latihan tersendiri. Atau, jika dikatakan dengan bahasa puisi: 

Dan ini perlu latihan. . . 

ini perlu latihan . . . 

perlu latihan . . . 

latihan. . . ©©© (walaaah. . . baru mulai sudah kumat duluan gendeng-e). 
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82. Mbah, bagaimana virus 
menjebak pemakai agar 
menghapus file? 


Pada umumnya virus (terutama virus lokal) akan berkamuflase dengan memakai 
ikon folder. Hal ini mulai terpatri di benak para pemakai komputer. Oleh karena 
itu, saat pemakai melihat ada file exe dengan ikon folder, dengan mudah ia akan 
mengatakan bahwa itu adalah file virus. 

Namun, benarkah pakem tersebut benar? Dahulu mungkin iya, sekarang 
mungkin pemakai perlu berpikir dua kali sebelum melakukan vonis tersebut. 

Kok bisa begitu mbah? Pembuat virus juga menyadari lho kalau file exe dengan 
ikon folder mulai dijadikan patokan para pemakai komputer bahwa file tersebut 
adalah virus. Oleh karena itu, gantian pembuat virus melakukan jebakan untuk 
para pemakai komputer. . . © 

Caranya? Virus akan mengubah ikon pada beberapa jenis file “tak berdosa“ 
menjadi ikon Folder. Misalnya virus mengubah ikon file- file mp3 / ini / inf / jpeg 
/ mpeg / txt / dll, menjadi berikon virus (dalam bentuk ikon folder). 

Ini merupakan salah satu rekayasa sosial yang digunakan virus untuk 
mengelabui user. Dengan teknik semacam ini, akan memaksa pemakai agar 
beranggapan bahwa file tersebut merupakan file duplikat yang dibuat oleh virus, 
atau file yang sudah diinjeksi oleh virus dengan harapan agar user menghapus 
file tersebut. .. capek deh .. © benar-benar nakal. 

Sebagai model, untuk menambah pemahaman, kita ambil file berekstension 
EXE. Perhatikan tampilan Windows Explorer yang menampilkan file exe. 
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Gambar 1.1 Windows Explorer 
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Terlihat pada file-file exe (Cshv21.exe csnm.exe dan uninstall.exe) pada kolom 
Type akan berisi keterangan Application. Tampilan tersebut adalah tampilan 
standar Windows. Hal tersebut dibentuk dengan data di Registry pada subkey: 


HKEY LOCAL MACHINE \ SOFTWARE \Classes\ exe f i 1 e 


Lokasi visual subkey tersebut adalah: 



Gambar 1.2 Lokasi subkey 


Perhatikan! Keterangan Application yang ditampilkan di kolom Type dibentuk 
dari nama value (default) di subkey ini. 

Dengan cerdik virus akan mengubah data tersebut dengan mengubah isian nama 
value (default) menjadi: File Folder. 

Dengan manipulasi di atas, keterangan standar dari file exe akan berganti dengan 
kata File Folder. Perhatikan gambar keterangan Type yang telah diubah. 
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Gambar 1.3 File exe dengan keterangan type ngawur 


Jika kita waspada, pada file berjenis exe akan terjadi keanehan info data. Filenya 
berekstension Exe, tapi Type-ny& kok File Folderl Pemakai yang ber- 
pengalaman akan segera curiga akan keanehan ini dan tangannya sudah mulai 
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gatal untuk menghabisi file tersebut! Dan itu memang yang diinginkan oleh 
pembuat virus ..© 

Untuk memuluskan jebakan yang sedang dilakukan oleh virus, maka virus akan 
mengubah data lainnya untuk memperkuat rekayasa sosial yang sedang dilan- 
carkannya. Lokasi subkey yang diubah adalah: 

HKE Y_LOCAL_MACHINE \ SOFTWARE \Classes\ exe f i 1 e \ De f au 1 1 1 con 

Secara standar isi subkey tersebut adalah: %1. Yang artinya menampilkan ikon 
sesuai dengan ikon yang ada di dalam file exe. 



Gambar 1.4 Mengubah ikon 

Virus akan mengubah ikon tersebut dengan tampilkan ikon folder. Caranya 
dengan mengubah isian nama value (default) dengan data: 

system32 \shell32 . dll , 3 

Sehingga tampilan data pada Windows Explorer akan berubah dengan sangat 
meyakinkan. Meyakinkan bahwa cshv21.exe adalah file virus .. © 

Ingat petuah kuno para pakar virus: Jika ditemui suatu file Exe dengan bentuk 
ikon yang berubah atau b erbentuk folder, maka file tersebut adalah file virus! 

Nah! Berdasarkan petuah tersebut, virus secara kurang ajar, menjebak pemakai 
dengan memakai petuah tersebut ... © 

Pemakai yang merasa dirinya cukup lihai, dengan gagah berani tentu akan 
menghapus file tersebut. Padahal file tersebut sebenarnya bukan file virus, 
namun file asli yang dibuat, seperti file virus AGAR ANDA HAPUS! Capek 
deh. . . © 

Ini namanya lempar batu sembunyi tangan. Secara kurang ajar virus memakai 
jasa kita untuk membunuh file milik kita sendiri yang sama sekali tidak 
bermasalah. Bah! 
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Gambar 1.5 Ikon berubah 


Kemudian karena “amat sayangnya” virus dengan kita, kemungkinan ia akan 
mengubah ikon pada beberapa file jenis lainnya. Berikut ini lokasi beberapa 
subkey yang mungkin diubah oleh virus: 


* File mp3 

HKE Y_LOCAL_MACHINE \ SOFTWARE \Classes\mp3file\DefaultIcon 

* file mpeg 

HKE Y_LOCAL_MACH INE \ SOFTWARE \Classes \mpeg f i 1 e \ De f au 1 1 1 c on 

* file Jpg 

HKE Y_LOCAL_MACH INE \ SOFTWARE \Classes\jpegfile\Def au 1 1 1 c on 

* file txt 

HKE Y_LOCAL_MACH INE \ SOFTWARE \Classes\ tx t file\Def au 1 1 1 c on 

* file dll 

HKEY LOCAL MACHINE\SOFTWARE\Classes\dllf ile\Def aultlcon 


Solusi: 

Dengan jebakan yang licin tersebut, kita harus lebih waspada dalam menghapus 
data yang ada. Jangan asal main sikat, ya? Pastikan bahwa file exe dengan ikon 
folder tersebut benar-benar file virus. Banyak aspek untuk memastikan file 
tersebut virus atau bukan. Misalnya dilihat dari ukurannya, jumlah file yang 
sama dalam jumlah yang terlalu banyak, dan sebagainya. 

Singkat kata: Waspadalah! 
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83. Mbah dukun, bagaimana 
cara virus aktif via startup 
folder? 


Eh., dari tadi tanya melulu. Sudah siapkan kembang dan kemenyan belum? © 

Cara lain yang sering dipakai Virus dalam rangka menghidupkan dirinya sendiri 
saat Windows di-boot, adalah dengan memakai suatu folder khusus Windows 
yang akan diakses Windows saat proses boot. 

Dengan teknik ini, virus tidak membuat string pada registri Windows. Untuk 
memastikan agar dirinya dapat aktif, ia akan membuat file duplikat pada 
“Startup” folder. 

Lokasi tepatnya adalah di: 


C:\Documents and Settings\%User%\Start Menu \ Pr ograms \ Startup 
Startup . exe 

C:\Documents and Settings\All Users\StartMenu\Programs\Startup 
Startup . exe 



Gambar 1.6 Lokasi folder startup 
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Pada folder ini diletakkan file execute virus. Dengan cara sederhana ini, aktiflah 
Virus saat Windows di-boot. 

Solusi: 

Jika pada folder Startup tiba-tiba muncul file baru yang sebelumnya tidak ada. 
Dan kita tidak pernah merasa memasangkan program tambahan. Hati-hatilah., 
mungkin itu file virus. 


84. Mbah, benarkah virus 
dapat aktif jika suatu program 
crash? 

Cara ini juga terkadang dipakai virus untuk mengaktifkan dirinya. Caranya 
cukup terbilang licin juga. . . © 

Saat terjadi kesalahan eksekusi program, yang menyebabkan program menjadi 
hang (not responding ), biasanya Windows akan menampilkan pesan kesalahan 
eksekusi program dan menampilkan program error reporting. 

Hal itu dapat dilakukan Windows dengan bantuan suatu subkey di Registry. 
Lokasinya di Registry adalah: 

HKEY_LOCAL_MACHINE \ So f twar e \Mi croso f t \ Windows 
NT\CurrentVersion\AEDebug 



Tampilan visual dari lokasi tersebut seperti terlihat pada gambar. 



Gambar 1.7 Lokasi subkey dan nama value yang dimanipulasi 
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Data yang diubah virus ada pada nama value Debugger. Biasanya, virus akan 
mengganti isian nama value Debugger dengan program executable miliknya, 
misalnya seperti berikut. 

Nama value Debugger diisi dengan data: 


C:\Documents and Settings\LocalService\Local Settings\Application 
Data\lsass . exe 


Lihat bagaimana pembuat virus membuat bingung pemakai awam! Virus 
memakai nama file kritikal Windows yang bernama lsass.exe. Hati-hatilah! 
jangan sampai terjebak. File asli lsass.exe seharusnya ada di folder 
\%systemroor%\system32 (misalnya: c:\windows\system32). 

Dengan cara ini, saat terjadi crash pada Windows, eksekusi error reporting 
standar Windows akan “dibelokkan” arahnya untuk mengeksekusi file virus 
yang bernama: lsass.exe. 

Wah. . . sudah menderita hang, penderitaan akan ditambah dengan aktifnya virus 
pula. Jika dikatakan dengan peribahasa: Sudah jatuh tertimpa paha. . . eeh. . . 
tangga ding . . © 

Solusi: 

Ganti isian nama value debugger sesuai dengan aslinya. Jika bingung akan isian 
datanya, tentu saja Anda dapat mencontek datanya dari komputer teman yang 
masih sehat. Oke? 


85. Mbah dukun, bagaimana 

virus mengaktifkan dirinya 
saat shell command (Cmd) 
dijalankan? 

Ini lagi, salah satu cara pengaktifan virus lainnya yang cukup eksentrik. Virus 
akan berusaha mengaktifkan dirinya dengan memakai jasa command shell. 
Artinya, jika pemakai berusaha memperbaiki kesalahan yang dilakukan dengan 
bantuan program command shell , ia tidak akan berhasil memakainya, malahan 
mengaktifkan virusnya. Benar-benar kreatif! 
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Seperti biasa, untuk melakukan hal tersebut Virus akan memanipulasi Registry. 
Lokasi subkey Registry yang dimanipulasi adalah: 


HKEY CURRENT USER\Sof tware\Microsof t \Command Processor 


Tampilan visual subkey-nya seperti terlihat pada gambar. 



Gambar 1.8 Lokasi visual subkey 


Lalu bagaimana virus melakukannya? Itu pertanyaan yang membutuhkan jatah 
kemenyan tersendiri hehehe © 

Caranya sederhana saja. Virus akan membuat suatu file dengan jenis BAT alias 
batchfile. Anggap saja nama file bat tersebut adalah: Vir.bat dan di dalamnya 
dibuat suatu perintah untuk menjalankan file virus, sebagai berikut. 


@echo off 
c : \virusku . exe 


P vir.bat - Notepad L |[n"||X| 



Gambar 1.9 Isi file BAT 
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Langkah selanjutnya, virus akan mengubah masukan Registry tepatnya di lokasi: 


HKEY CURRENT USER\Sof tware\Microsof t \Command Processor 


Pada subkey ini, virus akan membuat suatu nama value baru: Autorun. Isian 
nama value ini akan berisi path dan nama file Virus.bat. Artinya, file Virus.bat 
akan dijalankan secara otomatis saat command shell (command prompt) 
diaktifkan. Seperti yang terlihat pada gambar. 
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Name 
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[So] DelayedExpansion 
[So] EnableExtensions 


£] Autorun 




Type 

REG_SZ 
REG_DWORD 
REG_DWORD 
REG SZ 


Data 

(value not set) 
0x00000000 (0) 
0x00000001 (1) 
c:\vir.bat 


My Computer VHKEY_CURRENT_USER^ofhA'areV^icrosoft\Command Processor 


Gambar 1.10 Lokasi dan nama value yang dimanipulasi 

Saat pemakai mengaktifkan command shell, dilakukan dengan mengetikkan: 
cmd atau command, maka akan diaktifkan file Vir.bat. File Vir.bat kemudian 
akan mengaktifkan file virus (c:\virusku.exe). 

Ini sama saja, tanpa kita sadari, kita mengaktifkan virus secara sukarela dan 
bahagia . . heheh © 

Solusi: 

Hapus nama value autorun yang dibuat oleh virus. Masalah akan kelar. 
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